COMPLIANCE DIGITAL E6

Prévia do material em texto

AULA 6 
COMPLIANCE DIGITAL E 
GOVERNANÇA CORPORATIVA 
Profº Felipe Santos Ribas 
2 
INTRODUÇÃO 
A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei n. 13.709/2018), 
que apresenta as bases para o tratamento dos dados, surge para tutelar um 
problema disruptivo que é corolário da sociedade da informação. Hoje o mundo 
passa por uma completa digitalização, que atinge diversas área, como por 
exemplo a economia, a educação e as finanças, e que abarca as esferas pública 
e privada. 
É bem verdade que a digitalização permite uma multiplicidade de negócios 
que antes eram inimagináveis, mas que traz novos riscos para os usuários desse 
novo ambiente comercial. Instrumentos como big data e inteligência artificial são 
capazes de avaliar milhões de dados, o que permite, consequentemente conhecer 
gostos, tendências e rotinas dos usuários. 
Nesse sentido, a disciplina da proteção de dados possui alguns temas que 
ainda precisam ser explorados com mais profundidade. 
TEMA 1 – FUNDAMENTO CONSTITUCIONAL DA PROTEÇÃO DE DADOS: O 
DIREITO À INTIMIDADE E À PRIVACIDADE 
O marco normativo sobre a proteção de dados repousa no art. 5º, da 
Constituição Federal, incisos X e XII, que assim dispõe: 
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer 
natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no 
País a inviolabilidade do direito à vida, à liberdade, à igualdade, à 
segurança e à propriedade, nos termos seguintes: 
X - são invioláveis a intimidade, a vida privada, a honra e a imagem 
das pessoas, assegurado o direito a indenização pelo dano material ou 
moral decorrente de sua violação; 
XII - é inviolável o sigilo da correspondência e das comunicações 
telegráficas, de dados e das comunicações telefônicas, salvo, no 
último caso, por ordem judicial, nas hipóteses e na forma que a lei 
estabelecer para fins de investigação criminal ou instrução processual 
penal; (Vide Lei n. 9.296, de 1996)1. 
A autora Laura Schertel Mendes ao tratar do direito constitucional da 
privacidade e intimidade, argumenta que: 
Quando analisamos o âmbito de proteção das garantias constitucionais 
1 Art. 5º, da Constituição da República Federativa do Brasil. Disponível em: 
. Acesso em: 10 jun. 2021. 
 
 
3 
de sigilo e da intimidade, viu-se que elas apresentam um âmbito de 
proteção específico, qual seja, das informações íntimas ou das 
comunicações. Já́ as informações que identificam e caracterizam uma 
pessoa, isto é, os dados ou as informações pessoais, não são 
reconhecidos como objeto imediato de proteção constitucional, embora 
o seu processamento e a sua utilização possam acarretar a violação de 
inúmeros direitos fundamentais. Entendemos, assim, que, para manter 
a atualidade da proteção constitucional do indivíduo em face dos novos 
desafios sociais e tecnológicos, faz-se necessário interpretar a 
Constituição, de modo a se extrair uma garantia geral de proteção da 
informação pessoal, que complementaria o atual sistema de garantias 
específicas de sigilo e da intimidade e da vida privada. Isto é, somente o 
reconhecimento de um direito fundamental à proteção de dados 
pessoais poderia fazer jus aos atuais riscos aos quais os indivíduos 
estão submetidos2. 
Neste mesmo sentido, o autor Tércio Sampaio Ferraz Junior assim dispõe: 
[...] o objeto protegido no direito à inviolabilidade do sigilo não são os 
dados em si, mas a sua comunicacao restringida (liberdade de reação). 
A troca de informações (comunicacao) privativa é que não pode ser 
violada por sujeito estranho à comunicação3. 
Tanto o direito à intimidade como a proteção de dados focam em prevenir 
abusos de mau uso ou abusos de dados e informações pessoais. Deste modo, o 
direito à proteção de dados é um direito que o indivíduo possui de que suas 
informações pessoais sejam protegidas. 
Há quem considere o direito à privacidade como o mais valioso para o ser 
humano.4 É um direito que carrega no seu núcleo duro o direito de estar só e 
permanecer só. É dele que também se extrai o suporte para os sigilos fiscal, 
bancário, telefônico, telegráfico e telemático. 
Para muitos, a intimidade e a privacidade são sinônimos. Entretanto, alguns 
doutrinadores entendem que são direitos reflexos da integridade moral, mas que 
apresentam níveis de aplicação distintos. A intimidade seria o modo de ser da 
pessoa; já a privacidade seria referente ao modo de convivência e relacionamento 
entre as pessoas. 
Segundo Guilherme Peña de Moraes, a privacidade é delimitada por 3 
(três) esferas concêntricas e sobrepostas, assim explicadas: 
 
2 MENDES, L. Privacidade, proteção de dados e defesa do consumidor. Editora Saraiva. São 
Paulo, 2014, p. 165-166. 
3 FERRAZ JR. Sigilo de dados: o direito à privacidade e os limites à função fiscalizadora do 
Estado. Revista Tributária e de Finanças Públicas, São Paulo: Revista dos Tribunais, v. 1, out. 
1992. 
4 SARLET, INGO WOLFGANG; et al. Curso de Direito Constitucional. 3. ed. rev., atual. e ampl., 
2014, p. 406. 
 
 
4 
Na esfera social, as pessoas humanas procuram satisfazer os seus 
interesses enquanto membros da sociedade, comportando os fatos que 
são suscetíveis de conhecimento por todos. Na esfera privada, as 
pessoas humanas procuram satisfazer os seus interesses enquanto 
membros de uma comunidade, compreendendo os fatos que podem ser 
compartilhados com um número restrito de pessoas. Na esfera individual 
ou íntima, as pessoas humanas procuram satisfazer os seus interesses 
isoladas do grupo social, resguardadas as suas particularidades, 
contemplando os fatos que estão subtraídos do conhecimento de todas 
as outras,31 de maneira que a intimidade simboliza a parte mais 
recôndita do direito à privacidade, na medida em que “a intimidade é o 
âmbito do exclusivo que alguém reserva para si, sem nenhuma 
repercussão social, nem mesmo ao alcance de sua vida privada que, por 
mais isolada que seja, é sempre um viver entre os outros. Já a vida 
privada envolve a proteção de formas exclusivas de convivência. 
Um tema diretamente relacionado ao direito à privacidade, diz respeito ao 
direito ao esquecimento. Basicamente, os defensores do “esquecimento” 
entendem que o indivíduo deve ter a “possibilidade de determinar, de maneira 
autônoma, o desenvolvimento da sua própria vida, sem ser constantemente 
estigmatizado pelo seu passado, principalmente diante do lapso temporal de 
eventos pretéritos que não se relacionem mais com seu atual contexto”.5 
O tema ganhou evidencia quando começaram os debates para reforma do 
Regulamento Geral sobre Proteção de Dados da União Europeia em 2012, para 
que se aproveitasse a oportunidade para se incluir o direito ao esquecimento. 
Inclusive, a cláusula de esquecimento ficou prevista no artigo desse Regulamento, 
criando-se a obrigação do controlador de dados de apagar o seu processamento.6 
No Brasil, o direito ao esquecimento ainda bastante polêmico. Vale 
destacar que, recentemente, no dia 10.02.21, o Supremo Tribunal Federal julgou 
um Recurso Extraordinário pela técnica dos recursos repetitivos e firmou o 
seguinte entendimento: 
É incompatível com a Constituição Federal a ideia de um direito ao 
esquecimento, assim entendido como o poder de obstar, em razão da 
passagem do tempo, a divulgação de fatos ou dados verídicos e 
licitamente obtidos e publicados em meios de comunicação social – 
analógicos ou digitais. Eventuais excessos ou abusos no exercício da 
liberdade de expressão e de informação devem ser analisados caso a 
caso, a partir dos parâmetros constitucionais, especialmente os relativos 
à proteção da honra, da imagem, da privacidade e da personalidade em 
geral, e as expressas e específicas previsões legais nos âmbitos penal 
e cível7. 
 
5 FRAJHOF, I. O Direito ao Esquecimento na Internet. São Paulo: Almedina, 2019, p. 22.6 _____. O Direito ao Esquecimento na Internet. São Paulo: Almedina, 2019, p. 29. 
7BRASIL. www.stf.jus.br - Disponível em: 
. Acesso em: 10 jun. 2021. 
 
 
5 
 O caso brasileiro versava sobre um crime ocorrido nos anos 1950 no Rio de 
Janeiro, em que familiares da vítima estavam buscando reparação pela 
reconstrução do caso, em 2004, no programa “Linha Direta”, da TV Globo. 
Ao negarem provimento ao Recurso Extraordinário da Família, os Ministros 
pontuaram que o esquecimento não pode ser elegido como direito fundamental 
limitador da expressão. Disseram que existe uma solidariedade entre as gerações 
e que não pode ser negado às novas gerações o direito de conhecer a própria 
história. Ponderaram também que, o direito ao esquecimento não pode ser 
aplicado quando os fatos tornaram-se de domínio público, mas que a indivíduo 
pode buscar a reparação de danos quando restar comprovado excessos ou 
abusos no exercício da liberdade de expressão. 
TEMA 2 – OS PRINCÍPIOS DA LGPD 
Além do fundamento constitucional, a Lei Geral de Proteção de Dados 
Pessoais é orientada por alguns princípios, que devem ser fielmente observados 
pelo controlador dos dados, senão vejamos: 
a. Finalidade: realização do tratamento para propósitos legítimos, 
específicos, explícitos e informados ao titular, sem possibilidade de 
tratamento posterior de forma incompatível com essas finalidades; 
b. Adequação: compatibilidade do tratamento com as finalidades informadas 
ao titular, de acordo com o contexto do tratamento; 
c. Necessidade: limitação do tratamento ao mínimo necessário para a 
realização de suas finalidades, com abrangência dos dados pertinentes, 
proporcionais e não excessivos em relação às finalidades do tratamento de 
dados 
d. Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre 
a forma e a duração do tratamento, bem como sobre a integralidade de 
seus dados pessoais; 
e. Qualidade dos Dados: garantia, aos titulares, de exatidão, clareza, 
relevância e atualização dos dados, de acordo com a necessidade e para 
o cumprimento da finalidade de seu tratamento; 
f. Transparência: garantia, aos titulares, de informações claras, precisas e 
facilmente acessíveis sobre a realização do tratamento e os respectivos 
agentes de tratamento, observados os segredos comercial e industrial; 
g. Segurança: utilização de medidas técnicas e administrativas aptas a 
 
 
6 
proteger os dados pessoais de acessos não autorizados e de situações 
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou 
difusão; 
h. Prevenção: adoção de medidas para prevenir a ocorrência de danos em 
virtude do tratamento de dados pessoais; 
i. Não Discriminação: impossibilidade de realização do tratamento para fins 
discriminatórios ilícitos ou abusivos; 
j. Responsabilização e Prestação de Contas: demonstração, pelo agente, 
da adoção de medidas eficazes e capazes de comprovar a observância e 
o cumprimento das normas de proteção de dados pessoais e, inclusive, da 
eficácia dessas medidas8. 
Tais princípios possuem o intuito de atribuir limitações na administração 
dos dados, como também conferir poder ao indivíduo com finalidade de que esse 
seja capaz de monitorar o fluxo de seus dados. 
O tratamento de dados pessoais é processo dinâmico que engloba todas 
as operações técnicas que podem ser realizadas sobre dados pessoais, com 
intuito de se refinar a informação, podendo torná-la mais útil ou até valiosa. Inclui 
também a realização de várias atividades, tais como, a conservação, a 
organização, a coleta, a adaptação, a alteração, o registro, a utilização, a 
recuperação, a comunicação por difusão, transmissão, a consulta, entre outras. 
A autora Laura Schertel Mendes discorre acerca do tratamento dos dados, 
in verbis: 
Utiliza-se a expressão tratamento de dados pessoais para designar as 
operações técnicas que podem ser efetuadas sobre os dados pessoais, 
de modo informatizado ou nãõo, com a finalidade de se refinar a 
informação, tornando-a mais valiosa ou útil. São formas de tratamento 
definidas pela Diretiva Europeia 95/46/CE a coleta, o registro, a 
organização, a conservação, a adaptação ou a alteração, a recuperação, 
a consulta, a utilização, a comunicação por transmissão, difusão ou 
qualquer outra forma de colocação à disposição, com operação ou 
interconexão, bem como o bloqueio, o apagamento ou a destruição. 
Assim, o tratamento de dados pessoais tem um views marcadamente 
dinâmico, pois consiste na ação de manejar a informação, relacionando 
e reelaborando dados, com intuito de se obterem conclusões a partir da 
aplicação de critérios. Para que o tratamento de dados pessoais atinja a 
sua finalidade, os dados geralmente são organizados na forma de banco 
de dados. Este se caracteriza por ser um conjunto organizado e logico 
de dados, de fácil utilização e acesso. Conforme definição da Diretiva 
Europeia 95/46/CE, banco de dados constitui “qualquer conjunto 
estruturado de dados pessoais, acessível segundo critérios 
 
8 Art. 6º da Lei n. 13.709 de agosto de 2018. Denominada Lei Geral de Proteção de Dados 
Pessoais (LGPD). Disponível em: . Acesso em: 10 jun. 2021. 
 
 
7 
determinados, quer seja centralizado, descentralizado ou repartido de 
modo funcional ou geográfico. 
[...] 
O momento da coleta pode ser considerado a primeira fase do 
tratamento dos dados, no qual a empresa ou o controlador do banco de 
dados necessita obter as informações pessoais do consumidor, o que 
pode ser realizado a partir do próprio consumidor ou de outras fontes 
[...]. O processamento de dados constitui a segunda fase do tratamento, 
na qual os dados são submetidos a diversas técnicas necessárias para 
lapidá-los e transformá-los em informações úteis para a empresa. 
[...] 
Pode-se dizer que as principais fontes de dados dos consumi- dores são: 
i) trans ações comerciais; ii) censos e registros público; iii) pesquisas de 
mercado e de estilo de vida; iv) sorteios e concursos; v) comercialização 
e cisão de dados; e vi) tecnologias de controle na internet9. 
 Ainda, sobre esse mesmo viés, a referida autora conclui que: 
Como regra geral, é fundamental destacar que a legitimidade da coleta 
dos dados pessoais está condicionada ao consentimento do consumidor 
ou à previsão legal que permita a coleta, hipótese em que ela deve ser 
comunicada ao consumidor. Além disso, a finalidade pela qual os dados 
pessoais foram coletados deve sempre ser respeitada, não podendo os 
dados ser utilizados para finalidade diversa sem o expresso 
consentimento do consumidor10. 
 Nesse sentido, os princípios da LGPD servem de balizas para 
estruturar os controles internos de proteção de dados. Para que seja possível 
elaborar um bom programa de compliance digital, faz-se necessário 
avaliar/auditar como estão os controles da empresa. Portanto, num primeiro 
momento, a organização deve verificar as tecnologias presentes, as licenças dos 
softwares, os cadastros de dados e os termos de consentimento. 
O termo de consentimento do usuário/cliente é de suma importância para 
a organização que está coletando as informações, pois é esse documento que 
autoriza o tratamento de dados. Deve-se frisar que esse termo deve ser claro, 
objetivo e alinhado com os princípios arrolados acima, não podendo ter o condão 
de enganar o usuário. 
TEMA 3 – O DIREITO DO CONSUMIDOR E O MARKETING DIGITAL 
Um tema que está bastante presente na agenda acadêmica dos últimos 
anos diz respeito aos limites do marketing digital, ou seja, como regulamentar a 
mineração de dados e o seu uso em técnicas de publicidade que incentivam ao9 MENDES, L. Privacidade, proteção de dados e defesa do consumidor. Editora Saraiva. São 
Paulo, 2014, p. 54-94. 
10 _____. Privacidade, proteção de dados e defesa do consumidor. Editora Saraiva. São 
Paulo, 2014, p. 95-96. 
 
 
8 
consumo. É prática comum na publicidade digital a utilização de spams e nudges 
para influenciar o consumo de produtos e serviços. É como se fossem os gatilhos 
para influenciar na tomada de decisões dos consumidores. Um bom exemplo são 
os casos dos sites que vendem passagens aéreas que, após uma consulta do 
consumidor, começam a disparar spams/nudges com novas promoções ou 
alertando que os assentos estão esgotando. 
Além da questão ética, que é bastante discutível, esse tipo de publicidade 
pode caracterizar uma violação ao Código de Defesa ao Consumidor que, por um 
lado, exige a educação e divulgação sobre o consumo adequado dos produtos e 
serviços e, por outro, proíbe a publicidade enganosa e abusiva, bem como 
métodos comerciais coercitivos ou desleais. 
Com efeito, apesar de não disciplinar expressamente a publicidade digital, 
a LGPD está voltada para a proteção da privacidade, intimidade, liberdade de 
expressão e a honra das pessoas e, para tanto, apegou-se a diversos princípios 
e regras estruturantes que disciplinam o manejo de dados pessoais, e que possui 
algumas ferramentas para proteger os usuários. 
Dentre essas regras, a LGPD assegura aos titulares dos dados pessoais 
inúmeros direitos, tais como: confirmação da existência de cadastro em seu nome; 
acesso aos dados; correção de dados; anonimização ou eliminação dos dados 
desnecessários; portabilidade dos dados para outro prestador de serviço; 
revogação de consentimento etc. 
Até existe uma discussão se a pessoa jurídica também poderia titularizar 
esse direito, uma vez que a lei fala na pessoa natural e que seriam apenas elas 
as titulares do direito fundamental à proteção de dados. 
Diante da discussão acerca do tema, importante mencionar o entendimento 
de Anderson Schreiber que aduz que as pessoas jurídicas não gozam dessa 
proteção, veja-se: 
Os direitos da personalidade gravitam em torno da condição humana, e, 
por isso mesmo, não têm qualquer relação com as pessoas jurídicas. As 
sociedades, as associações, as Fund ações e todas as demais espécie 
de entes abstratos detém personalidade em sentido subjetivo, ou seja, 
possuem aptidão para a aquisição de direitos e obrigações. Não gozam, 
apesar disso, da especial proteção que o ordenamento jurídico reserva 
ao núcleo essencial da condição humana11. 
 
11 SCHREIBER, A. Direitos da personalidade. Editora Atlas. São Paulo, 2011, p. 21-22. 
 
 
9 
Mas trata-se de direito que pode ser limitado, ou seja, não é absoluto, visto 
que pode ser aplicado outro direito fundamental ou preceito constitucional, a 
depender do caso concreto, na medida do contexto social analisado. 
A empresa americana ChoicePoint notificou cerca de 145 mil consumidores 
em 2004 sobre fraude em seus sistemas de informações, o qual ocorreu devido a 
falhas no monitoramento e credenciamento de seus clientes, gerando multa de 
US$10 milhões e compensação de US$5 milhões aos consumidores12. 
Existem medidas que podem prevenir o vazamento e o uso abusivo dos 
dados, por meio de atividades de controle, procedimentos e políticas internas 
asseguram os riscos prejudiciais nas organizações, como a implantação de um 
programa efetivo de Compliance. 
Vale lembrar que, a LGPD estabelece penalidades bastante rigorosas, 
senão vejamos: 
1. Advertência, com indicação de prazo para adoção de medidas 
corretivas; 
2. Multa simples, de até 2% (dois por cento) do faturamento da pessoa 
jurídica de direito privado, grupo ou conglomerado no Brasil no seu último 
exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 
(cinquenta milhões de reais) por infração; I 
3. Multa diária; 
4. Publicização da infração após devidamente apurada e confirmada 
a sua ocorrência; 
5. Bloqueio dos dados pessoais a que se refere a infração até a sua 
regularização; 
6. Eliminação dos dados pessoais a que se refere a infração. 
7. Penalidades não substituem a aplicação de sanções 
administrativas, civis ou penais previstas em legislação específica (art. 
52, §2º)13. 
Os órgãos públicos ficam submetidos às medidas administrativas 
específicas. Deste modo, incumbe à autoridade nacional salvaguardar que 
medidas proporcionais e cabíveis sejam adotadas quando incorrer violação no 
tratamento de dados pessoais nos órgãos públicos. Tais órgãos se encontram no 
âmbito do regime administrativo, por este motivo, submetem-se às normas e 
parâmetros deste, respondendo no âmbito administrativo e não judicial. 
Tendo em vista que o Compliance tem por objetivo estar em conformidade 
com os regulamentos internos ou externos, com as leis e as diretrizes, obter um 
 
12 Disponível em: . Acesso 
em: 10 jun. 2021. 
13 MEYER, M. Lei 13.709/2018. Lei de Proteção de Dados Pessoais. Agosto de 2018. Disponível 
em:. Acesso em: 10 jun. 2021. 
 
 
10 
programa efetivo de integração faz com que haja manutenção desses métodos e 
a sua inobservância, consequentemente, gera penalidades. 
Acolher as condições da Lei Geral de Proteção de Dados requer adaptação 
dos sistemas de governança corporativa, com implementação de Compliance 
digital, necessita investimento, revisão das ferramentas de segurança de dados, 
documentais, aperfeiçoamento de fluxos internos e externo de dados pessoais, 
de procedimentos, por meio de emprego de mecanismos de controle e auditorias. 
Tanto o controlador como o operador devem considerar as regras e formas de 
proteger os dados pessoais e evidenciar sua eficiência nas empresas. 
Desta forma, a referida lei traz um significativo impacto social e econômico. 
TEMA 4 – ESTRUTURAÇÃO DE UM PROGRAMA DE PROTEÇÃO DE DADOS 
Reitera-se que, pela Lei Geral de Proteção de Dados, os 
clientes/consumidores são considerados titulares dos dados pessoais sensíveis, 
os quais possuem ampla proteção pela legislação. 
Assim, as organizações têm responsabilidade acerca dos dados pessoais 
captados de seus clientes, sejam estes tratados ou não, o que importa na remoção 
da culpa em caso de debate jurídico de acordo com o titular de dados, em caso 
de eventual vazamento indevido destes14. 
A Lei Geral de Proteção de Dados exige um cuidado especial com relação 
ao tratamento de dados pessoais dos clientes. O recolhimento e partilha de dados 
e informação entre empresas, apesar de ser importante para novos negócios e 
transações comerciais, acarreta riscos de violação de privacidade. 
Por conseguinte, as empresas que fazem tratamento de dados pessoais 
precisam estruturar um bom programa interno, que chamamos de Compliance 
Digital, com as medidas efetivas para garantir o cumprimento da nova legislação. 
A autora Patrícia Peck Pinheiro bem ilustra como as empresas devem 
adaptar a lei juntamente com um programa de Compliance, veja-se: 
Dependendo do ramo do negócio, da empresa e da maturidade da 
governança dos dados pessoais, é fundamental criar um programa de 
compliance digital, com risk assessment, planos de respostas a 
incidentes, treinamentos e comunicação, due diligence de terceiros em 
 
14 MASSARELLI, J.; ALMEIDA, V. Proteção de dados pessoais como direito fundamental na 
área da saúde e suas implicações para os profissionais médicos no Brasil cotejando 
aspectos do direito comparado na União Europeia e na China. Disponível em: 
. Acesso em: 10 jun. 
2021. 
 
 
11 
um contexto multissetorial dentro do negócio e com visão holística para 
a legislação nacional e internacional. 
Logo, em resumo, o passo a passo consiste:a) na revisão e atualização da política de privacidade para estar em 
conformidade com as novas regulamentações de proteção de dados 
pessoais; 
b) na atualização das cláusulas de contratos (seja com titular de dados 
pessoais consumidor final ou funcionário); 
c) na atualização das cláusulas de contratos com os parceiros e 
fornecedores que realizam algum tipo de tratamento de dados, 
principalmente fornecedores de soluções de gestão de informação, 
nuvem, monitoração, mensageria, e-mail marketing, credit score, big 
data, mídias sociais (coleta, produção, recepção, classificação, acesso, 
utilização, transmissão, armazenagem, processamento, eliminação, 
enriquecimento); d) no mapeamento do fluxo de dados para definição da 
nova governança junto a TI dos controles de consentimento (ciclo de vida 
do dado – coleta, uso, compartilhamento, enriquecimento, 
armazenamento nacional ou internacional, com ou sem uso de nuvem, 
eliminação, portabilidade); 
e) no modelo de resposta para o Notice Letter do Órgão de Controle de 
Dados (sobre nível de conformidade da empresa e controles auditáveis) 
para prevenção a aplicação de multas e fiscalizações; 
f) no modelo de checklist de compliance para uso da área de compras 
para novos fornecedores e parceiros, que precisarão estar em 
conformidade com as novas regulamentações de proteção de dados 
pessoais; 
g) no modelo para gestão e guarda de trilha de auditoria para gestão dos 
logs de consentimento15. 
O passo a passo citado acima é apenas um guia/exemplo de algumas 
ações que devem ser tomadas pela empresa, dependendo do seu porte, 
complexidade e extensão dos seus negócios. Por óbvio, uma padaria de pequeno 
porte, por exemplo, que simplesmente colete dados dos seus clientes para enviar 
“promoções” por conta comercial de WhatsApp, não precisa implantar medidas 
tão custosas. É o caso em concreto que irá ditar o modelo de compliance digital 
que deverá implantado pela empresa. Neste trabalho, irá se demonstrar como 
funciona um programa completo, para uma empresa de grande porte. 
Nesse sentido, vejamos primeiro os requisitos para o tratamento de dados: 
a. Mediante consentimento do titular; 
b. Para cumprimento de obrigação legal ou regulatória do controlador; 
c. Para execução de políticas públicas pela administração pública; 
d. Para realização de estudos por órgãos de pesquisa; 
e. Para execução de contrato ou procedimentos preliminares a um contrato 
do qual seja parte o titular, a pedido do titular; 
f. Para o exercício regular de direitos em processos judiciais, administrativos 
ou arbitrais; 
 
15 PINHEIRO, P. Proteção de Dados Pessoais: Comentários à Lei n. 13.709/2018 (LGPD). 
Editora Saraiva. São Paulo, 2018, pg.45-46. 
 
 
12 
g. Para proteção da vida ou da incolumidade física do titular ou de terceiro; 
h. Para tutela da saúde, com coleta realizada por profissionais e órgãos da 
área de saúde; 
i. Quando necessário para atender aos interesses legítimos do controlador 
ou de terceiro, exceto se prevalecerem direitos e liberdades fundamentais 
do titular; 
j. Para proteção do crédito. 
Como pode se verificar, a primeira medida a ser tomada é a elaboração do 
termo de consentimento, que servirá para coletar a autorização do titular para a 
coleta, armazenamento e tratamento dos dados pessoais. Deve-se lembrar, 
contudo, que essa autorização deve ser fornecida por escrito ou por outro meio 
que demonstre a efetiva manifestação de vontade do titular, em cláusula 
destacada dos demais termos contratuais (art. 8º, parágrafo 1º, da LGPD), sendo 
vedada a exigência de dados pessoais que não sejam necessários ao 
cumprimento das obrigações legais e/ou comerciais, ex: orientação sexual ou cor 
da pele. 
Outra ação deveras importante é a implantação de medidas de segurança, 
para evitar o vazamento, extravio, roubo e alteração dos dados pessoais. Essas 
medidas envolvem as ferramentas de backup, softwares contra hackers, adoção 
de senhas e níveis de competências etc. 
Ainda, a empresa poderá elaborar uma política interna de tratamento de 
dados, com orientações especificas e estruturação de áreas especializadas, que 
rever contratos, estabelecer compromissos para colaboradores e fornecedores 
etc. Por exigência da LGPD, o controlador dos dados deverá indicar o empregado 
encarregado pelo tratamento de dados pessoais, que deve ser pessoa natural que 
atue como canal de comunicação, a Autoridade Nacional de Proteção de dados – 
ANPD e os titulares. 
Como já abordado anteriormente, uma área que não pode ser desprezada 
é aquela responsável pela gestão de riscos. Obviamente que não precisa ser um 
departamento exclusivo para gerenciamento de riscos digitais, mas a empresa 
não pode prescindir da gestão de riscos. Os dados produzidos por esta área 
servirão para instruir a tomada de decisões pela alta administração e, 
consequentemente, gerar valor para a empresa. 
Toda essa estruturação deve fazer parte do programa de integridade da 
empresa (riscos, compliance e auditoria), que deve ser acompanhado de perto 
 
 
13 
pelo Conselho de Administração e com o compromisso e seriedade dos 
executivos, que devem dar exemplo para os demais colaboradores. 
TEMA 5 – SITUAÇÕES PRÁTICAS DE COMPLIANCE DIGITAL E LGPD 
Para finalizar esta aula e com o intuito de deixar o tema mais palpável, 
serão demonstradas algumas situações práticas (exemplos) de compliance digital 
e LGPD, vejamos. 
5.1 LGPD e o setor de saúde 
Uma área bastante afetada pela LGPD é o setor de saúde, que trata de 
questões bastante íntimas do ser humano e, que, obviamente, demanda um 
grande cuidado com a privacidade. 
Hoje em dia, muitas clínicas e hospitais estão usando boletim médico 
eletrônico. Nesse sentido, é de suma importância que essas organizações adotem 
as medidas necessárias para proteger tais dados, como: elaboração de termo de 
consentimento, criação de senhas, adoção de backup, instalação de antivírus 
efetivos e estabelecimento de níveis de competência, definindo os profissionais 
que podem ter acesso ao boletim. 
Outra questão sensível diz respeito aos aplicativos de saúde móvel que 
utilizam ferramentas de geolocalização. Explorar os últimos locais frequentados 
pelo paciente para negar coberturas securitários (planos de saúde) ou oferecer 
serviços sem finalidade científica, pode acarretar a responsabilidade da 
organização. Além disso, essa exploração deve ter o consentimento do paciente, 
não apenas com relação à geolocalização, mas também com relação ao uso de 
tecnologias de Inteligência Artificial e Análise de Dados. 
Uma restrição ética também alcança as pesquisas científicas. Por exemplo, 
um portador de HIV que participe de um estudo científico pode solicitar que os 
seus dados pessoais sejam anonimizados, para evitar qualquer tipo de 
constrangimento ou estigma social. Portanto, ainda que os dados estejam em 
meio físico ou sejam destinados para fins científicos, o profissional de saúde 
precisa estar atento às limitações legais de sua publicidade. 
É inegável que os avanços tecnológicos trazem benefícios para o setor de 
saúde, que se beneficia desses avanços para uso na telemedicina, onde dispõe 
de dados e até os transmite, para aperfeiçoar suas técnicas, bem como estima 
 
 
14 
seus resultados mediante as informações processadas pelos dados 
disponibilizados dos pacientes, como também para manuseio dos prontuários, 
que são obrigatórios e sigilosos16. Mas conforme já destacado, apesar dos 
benefícios dos avanços tecnológicos, será necessária a estrita adequação à 
LGPD, para evitar condutas ilegais e desnecessárias. 
Finalmente, cabe destacar que, apesar das restrições legais, a LGPD 
admite em hipóteses excepcionais o tratamento e compartilhamento de dados 
sensíveis de saúde. Por exemplo, prevê o art. 4º, que a lei não se aplica ao 
tratamento de dados pessoais realizado para fins exclusivamente jornalístico, 
acadêmico ou em caso de segurançapública. 
5.2 Escolha do DPO (Data Protection Officer) 
Um dos principais atores da LGPD é o Encarregado dos Dados, conhecido 
pela sigla DPO, que é a redução da expressão anglo-saxã data Protection Officer. 
De acordo com a LGPD (art. 5º, VIII), o Encarregado dos Dados é pessoa indicada 
pelo controlador e operador para atuar como canal de comunicação entre o 
controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados 
(ANPD). 
É dever do Controlador (ex: empresa) indicar o Encarregado de Dados, 
cujos dados relacionados a sua identidade e informações de contato devem ser 
divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio 
eletrônico do controlador. 
Ainda, compete ao Encarregado de Dados as seguintes atribuições: 
I. aceitar reclamações e comunicações dos titulares, prestar esclarecimentos 
e adotar providências; 
II. receber comunicações da autoridade nacional e adotar providências; 
III. orientar os funcionários e os contratados da entidade a respeito das práticas 
a serem tomadas em relação à proteção de dados pessoais; e 
IV. executar as demais atribuições determinadas pelo controlador ou 
estabelecidas em normas complementares. 
A LGPD não exige uma formação específica, o que cai por terra a inverídica 
 
16 CFM. Resolução CFM n. 2.217/2018. Aprova o Código de Ética Médica. Disponível em: 
https://sistemas.cfm.org.br/normas/visualizar/resolucoes/BR/2018/2217>. Acesso em: 10 jun. 
2021. 
 
 
15 
informação de que o Encarregado deveria ser advogado ou agente de compliance. 
Em verdade, qualquer profissional que se julgue competente para assumir as 
atribuições da LGPD pode ser indicado como Encarregado de Dados. 
5.3 As boas práticas e a governança de dados 
A LGPD (art. 50) prescreve que os controladores de dados pessoais 
poderão formular regras de boas práticas e de governança que estabeleçam as 
condições de organização, o regime de funcionamento, os procedimentos, 
incluindo reclamações e petições de titulares, as normas de segurança, os 
padrões técnicos, as obrigações específicas para os diversos envolvidos no 
tratamento, as ações educativas, os mecanismos internos de supervisão e de 
mitigação de riscos e outros aspectos relacionados ao tratamento de dados 
pessoais. 
A quantidade das boas práticas e a extensão da governança de dados 
dependerá do porte e volume das operações das organizações, podendo 
compreender as seguintes práticas: 
a. demonstração do comprometimento do controlador em adotar processos e 
políticas internas que assegurem o cumprimento, de forma abrangente, de 
normas e boas práticas relativas à proteção de dados pessoais; 
b. a extensão da aplicabilidade das práticas, pode abranger todos os dados 
pessoais; 
c. estabelecimento de políticas e salvaguardas adequadas aos riscos de 
privacidade; 
d. medidas de transparência, com o intuito de melhorar a confiança do 
usuário; 
e. integração com a estrutura geral de governança corporativa, ao lado das 
áreas de auditoria, risco e compliance; 
f. adoção de planos de resposta a incidentes e remediação; e 
g. seja atualizado constantemente com base em informações obtidas a partir 
de monitoramento contínuo e avaliações periódicas; 
FINALIZANDO 
De acordo com o programa de Compliance de cada empresa é que serão 
avaliados em quais hipóteses podem se enquadrar para utilização da sua base de 
 
 
16 
dados pessoais, com a máxima proteção contra fraudes e abusos. 
É essencial o comprometimento da alta gestão nas organizações para que 
os empregados entendam a importância da proteção dos dados para a 
organização como um todo, por isso se faz necessário um programa de integração 
que seja periodicamente revisado, reforçado e até alterado conforme as 
necessidades das empresas. 
 Conquanto o Brasil possua mais diversas normas que cuidam 
parcialmente do tema, a LGPD é a primeira lei federal inerente a proteção de 
dados pessoais. Os administradores públicos e privados não estavam adaptados 
a trabalhar com esse tema. Por este motivo é que se deve construir uma cultura 
e difundir as boas práticas para que a lei seja determinante. Toda a organização 
precisa ser treinada. 
O controle de dados pessoais deve ser efetuado pelas organizações com 
o escopo de preservar a privacidade de cada indivíduo. Eventuais falhas na 
garantia desses dados podem fomentar graves consequências financeiras e de 
imagem para as empresas. 
Por meio do Compliance a proteção de dados organizações são hábeis em 
relação às políticas de proteção. Com isso, maior a confiabilidade nas 
organizações, sendo fator decisivo no controle interno das empresas. 
O custo-benefício de implementar o programa de Compliance é 
imensurável, visto que a cautela de eventuais falhas suspende fortuitos, 
penalidades e até a perda de credibilidade em torno das empresas. 
 
 
 
 
17 
REFERÊNCIAS 
MASSARELLI JR, J.; ALMEIDA, V. Proteção de dados pessoais como direito 
fundamental na área da saúde e suas implicações para os profissionais 
médicos no Brasil cotejando aspectos do direito comparado na União 
Europeia e na China. Disponível em: . 
Acesso em: 10 jun. 2021. 
BACCI, L. Boas práticas de proteção de dados pessoais e o pratique ou 
explique. Disponível em: . 
Acesso em: 10 jan. 2021. 
ANDRADE, F.; COSTA, A.; NOVAIS, P. Privacidade e Proteção de Dados nos 
Cuidados de Saúde de Idosos. Disponível em . Acesso em: 10 jan. 
2021. 
ARAÚJO, A.; LUCENA, T.; BORTOLOZZI, F.; GONÇALVEZ, S. Saúde Móvel: 
desafios globais à proteção de dados pessoais sob a perspectiva do direito da 
União Europeia. Disponível em: . Acesso em: 
10 jan. 2021. 
KLAFKE, G. 7 impactos da nova lei de proteção de dados para a tecnologia 
na Saúde. Disponível em: . Acesso em: 10 jan. 2021. 
CARVALHO, A; BERTOCCELLI, R; ALVIM, T; VENTURINI, O (coord.). Manual 
de compliance. Editora Forense. Rio de Janeiro, 2019. 
FRANCO, I. Guia Prático de Compliance. Editora Forense. Rio de Janeiro, 2019. 
MENDES, L. Privacidade, proteção de dados e defesa do consumidor. Editora 
Saraiva. São Paulo, 2014. 
PINHEIRO, P. Proteção de Dados Pessoais – Comentários à Lei n. 13.709/2018 
(LGPD). Editora Saraiva. São Paulo, 2018 
SCHREIBER, A. Direitos da personalidade. Editora Atlas. São Paulo, 2011.